codesee Security Report — Low Risk | ClawSafe

10 /100

codesee

CodeSee integration for visualizing and understanding codebases

CodeSee 集成技能，文档型 skill，无实际代码文件，仅声明使用 Membrane CLI 进行 CodeSee API 操作，权限声明与声称功能一致，无恶意行为发现。

Skill Namecodesee

Duration25.9s

Enginepi

✓

Safe to install

该 skill 安全性良好，建议保持当前文档化模式，无需额外安全加固。

Findings 2 items

Severity	Finding	Location
Low	权限声明宽泛 metadata 中未声明 allowed-tools，仅在文档中提及需要 network access 和 npm install `compatibility: Requires network access and a valid Membrane account` → 建议在 metadata 中补充 allowed-tools 声明以提高透明度	`SKILL.md:2`
Info	依赖第三方 CLI 工具技能依赖 @membranehq/cli 进行所有操作，Membrane CLI 处理认证和 API 请求 `npm install -g @membranehq/cli` → Membrane CLI 为标准 npm 包，来源可靠，风险可控	`SKILL.md:35`

Resource	Declared	Inferred	Status	Evidence
Filesystem	`NONE`	`READ`	✓ Aligned	SKILL.md:35 npm install -g @membranehq/cli 需文件系统写入权限
Network	`READ`	`WRITE`	✓ Aligned	SKILL.md:60 membrane request 用于 API 调用
Shell	`NONE`	`WRITE`	✓ Aligned	SKILL.md:35 npm install 全局安装

2 findings

🔗

Medium External URL 外部 URL

https://getmembrane.com

SKILL.md:7

🔗

Medium External URL 外部 URL

https://docs.codesee.io/

SKILL.md:19

1 files · 4.3 KB · 125 lines

Markdown 1f · 125L

└─ 📝 SKILL.md Markdown 125L · 4.3 KB

Package	Version	Source	Known Vulns	Notes
`@membranehq/cli`	`latest`	npm	No	全局安装 Membrane CLI，标准 npm 包

✓ 纯文档型 skill，无自定义代码执行，风险面积极小

✓ 使用 Membrane 管理认证生命周期，避免本地存储敏感凭证

✓ 文档明确建议使用官方 pre-built actions 而非 raw API 调用

✓ 明确声明不索取用户 API keys，通过连接器方式处理认证